>> manipulacja obliczona na wygenerowanie sztucznego popytu na "usługi"
>> autorów.
>
>
> Chyba nie sugerujesz, ze tam jest napisana nieprawda, albo polprawda ?


Heheheh - rzecz właśnie w tym czego nie napisali ;)


> Znowu: czy te dane nie sa prawdziwe, albo cos zostalo ukryte, zeby
> jednych przedstawic w lepszym a innych w gorszym swietle ?
> Ja odnioslem wrazenie, ze sie przejechali po *wszystkich* bankach.
> Wlasciwie malo ktory wypadl w tym zestawieniu dobrze i chyba tak
> wlasnie jest. Sam fakt, ze SSL 2 jest dopuszczany przez banki
> o czyms swiadczy.

Ok - SSL2 nie jest najnowszym protokołem i ma swoje błędy
architekturalne, ale znowu nie demonizujmy - złam go gdy używa się
silnych kluczy algorytmów symetrycznych ... życze powodzenia!


>
>> całkiem nieźle zabezpieczona, a sugeruje się że mają dziury (choć nie
>> pisze się tego wprost i w sumie nie można zarzucić kłamstwa).
>
>
> No to nie rozumiem... Jezeli nie klamia i pisza tylko to co pisza,
> to jaki inny zarzut poza tym, ze chca sie rozreklamowac, mozna
> im postawic ?

Chcesz przykład pierwszy z brzegu???? Ok - nie ma sprawy!
Weźmy MultiBank. W tabelce zaznaczono, że można nawiązać połączenie SSL
ze słabym kluczem - niby prawda, ale ... gdy takie nawiążesz, wszystko
co uzyskasz to komunikat w HTML, że aby się zalogować niezbędne jest
wsparcie przeglądarki dla szyfrowania z silnym kluczem .... No ale że
tak jest, to już nie napisali ... powiedziałbym że to co najmniej
nierzetelne - nie sądzisz??? Bo tak naprawde oznacza, że wejść do
serwisu transakcyjnego i zalogować się na słabym kluczu nie można!!!

>
>> No ale autorzy dopieli swego - prezes podobno nawet w tv wystąpił.
>
>
> No i dobrze, ktos musi wystapic, jesli o tych rzeczach ma sie mowic.
> Ja w kazdym razie, zobaczywszy co dla mBanku wyszlo, sprawdzilem
> czy na wszystkich kompach mam wylaczone korzystanie z SSL2,
> czego z czystego lenistwa nie robilem od paru SP (fakt, ze nie
> wiedzialem, ze banki dopuszczaja SSL2...).
> Slyszalem tez plotke, ze w jednym banku pogonili specjalistow
> do roboty, bo "wypadlismy najgorzej"...
> Wiec w sumie, co to szkodzi, ze sie sami zareklamowali, jesli
> przy tej okazji cos pozytywnego sie stanie.


I znowu SSL2 ... Podatność o której napisali (błąd w mod_ssl) dotyczy
dość szczególnych sytuacji i to takich w których tenże SSL2 wspiera
krótkie klucze ... Nie jestem obrońcą tego przestarzałego już nieco
protokołu, ale naprawde - spróbujcie go złamać przy silnym szyfrowaniu
... Zwróć uwagę że w dokumencie napisano o znanych błędach
architekturalnych SSL2 i tzw. dobrej praktyce, a nie podparto tego
żadnym przykładowym atakiem ... Mogę Cię zapewnić, że gdyby Ci
"specjaliści" potrafili taki sensowny przykładowy atak przeprowadzić, to
byłby on w dokumencie - możesz być tego pewnym.


Zapytałeś o co chodzi??? Najbardziej chodzi mi o tą tabelkę na końcu -
każda wpisana tam jedynka lub dwójka powinna być poparta przykładem -
tak, żeby nie było żadnych wątpliwości o co chodzi ...


Pozdrawiam